网络隔离技术1剖析.ppt

* * * VPN的典型应用（4） 典型案例4：无线接入VPN网构建 虚拟私用网络 内部网络 总经理办公室 财务室 ? 用途：使物理连接在同一网络构架上的不同小组之间进行安全必威体育官网网址的通信，主要用于防止内部的泄密和黑客。例如：对公司的财务部门数据的安全访问。 在公司局域网上的构建安全小组网络 以太网安全网关 VPN的典型应用（5） 用途：使企业和合作伙伴，供应商之间进行安全必威体育官网网址的通信 企业间的虚拟专用网络 Extranet VPN的典型应用（6） VPN的常见问题 远程拨号用户定位VPN网关设备 LANtoLAN，策略一致性问题 VPN的域设置 认证服务 内部VPN路由 动态寻址与NAT穿透 多端VPN的管理和配置 安全传输和信息监控的矛盾 双向NAT的VPN互联 基于VPN的互连与隔离 三层网络架构（下一代安全网络的可选方案之一） SSL/TLS协议(1) 1994年Netscape开发了SSL(Secure Socket Layer)协议，专门用于保护Web通讯。版本和历史 1.0，不成熟 2.0，基本上解决了Web通讯的安全问题 Microsoft公司发布了PCT(Private Communication Technology)，并在IE中支持 3.0，1996年发布，增加了一些算法，修改了一些缺陷 TLS 1.0(Transport Layer Security, 也被称为SSL 3.1)，1997年IETF发布了Draft，同时，Microsoft宣布放弃PCT，与Netscape一起支持TLS 1.0 1999年，发布RFC 2246(The TLS Protocol v1.0) SSL/TLS协议(2) 协议的设计目标 为两个通讯个体之间提供必威体育官网网址性和完整性(身份认证) 互操作性、可扩展性、相对效率 协议分为两层 底层：TLS记录协议 上层：TLS握手协议、TLS密码变化协议、TLS警告协议 SSL体系结构 SSL由记录协议子层(Record Protocol)和握手协议子层(Handshake Protocol)组成 记录协议子层定义了传输的格式 握手协议子层用于实现双向身份认证和协商密码算法以及会话密钥 IP TCP SSL记录协议 SSL握手 协议 SSL修改 密文协议 SSL告警 协议 HTTP 协议 SSL会话与连接 SSL会话（session） 一个SSL会话是在客户与服务器之间的一个关联。会话由Handshake Protocol创建。会话定义了一组可供多个连接共享的加密安全参数 会话用以避免为每一个连接提供新的安全参数所需昂贵的谈判代价 一对对等实体之间可以有多个会话 SSL连接（connection) 一个连接是提供一种合适类型服务的传输（OSI分层的定义） SSL的连接是点对点的关系 连接是暂时的，每一个连接和一个会话关联 SSL实现 OpenSSL, 必威体育精装版0.9.6c, 实现了SSL(2,3), TLS(1.0) Openssl —— a command line tool. SSL(3) —— the OpenSSL SSL/TLS library. crypto(3)—— the OpenSSL Crypto library. URL: SSLeay .au/~ftp/Crypto/ Microsoft Win2k SSL implementation SSL/TLS握手的步骤 Client_hello Server_hello Certificate Server_key_exchange Certificate_request Server_hello_done Certificate Client_key_exchange Certificate_verify Change_cipher_spec Finished Change_cipher_spec Finished 建立安全能力,包括协议版本、会话ID、密码组、压缩方法和初始随机数字 服务器可以发送证书、密钥交换和请求证书。服务器信号以hello消息结束 客户机可以发送证书；客户机发送密钥交换；客户机可以发送证书验证 更改密码组完成握手协议 ? ? ? ? ? 红色勾除的步骤是可选的 SSL VPN的基本构建方式 SSL单项认证模式 在采用单向认证时，主要是客户端验证服务器端是否合法。在建立SSL握手的时候，服务器将其证书传送给客户端进行验证。客户端主要验证有三个方面： 服务器证书是否在有效时间内 服务器证书中的域名是否与用户访问的域名一致 服务器证书是否由浏览器认可的根证发放 SSL双向认证模式 在双向认证模式下，除客户端验证服务器端是否合法外，服务器端也需要验证客户端是否为合法用户。服务